防火墙维护以及安全测试秘籍

日期: 2015-04-20 作者:Kevin Beaver翻译:刘淡宁 来源:TechTarget中国 英文

Verizon的2015 PCI合规报告(The Verizon 2015 PCI Compliance Report)指出了缺乏防火墙维护和安全性测试是未能满足PCI合规的主要原因。专家Kevin Beaver提供了一些成功管理这些任务的小技巧。 关于防火墙和PCI合规之间的关系,Verizon的2015 PCI合规报告很能说明问题。这篇报告揭示了缺乏防火墙维护和安全性测试不仅仅是导致企业未能达到PCI DSS合规的两个主要原因,也是导致数据泄露的主要原因。

根据这份报告可知,2014年遭受数据泄露的组织只有27%满足PCI DSS的防火墙维护要求。 虽然我不同意报告中所说的防火墙是组织的第……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

Verizon的2015 PCI合规报告(The Verizon 2015 PCI Compliance Report)指出了缺乏防火墙维护和安全性测试是未能满足PCI合规的主要原因。专家Kevin Beaver提供了一些成功管理这些任务的小技巧。

关于防火墙和PCI合规之间的关系,Verizon的2015 PCI合规报告很能说明问题。这篇报告揭示了缺乏防火墙维护和安全性测试不仅仅是导致企业未能达到PCI DSS合规的两个主要原因,也是导致数据泄露的主要原因。

根据这份报告可知,2014年遭受数据泄露的组织只有27%满足PCI DSS的防火墙维护要求。

虽然我不同意报告中所说的防火墙是组织的第一道防线,因为防火墙可能并没有办法管理到企业的移动办公员工,但是防火墙无疑是安全性和合规性的一个重要组成部分,尤其是在网络分段和PCI范围缩小的情况下。不管“老派”网络边界安全控制是如何实现的,他们对于企业控制来说很重要。

众所周知,企业进行防火墙维护的方式各有不同。但是,在这篇文章中,我将讨论这些差距以及如何解决这些问题。

防火墙的管理问题


无论您是负责小型或中型企业整体的信息安全,还是在一家大企业专门的防火墙团队工作,防火墙管理、维护和测试有关的潜在挑战都非常相似。

一个主要的问题是时间,或者是缺乏时间管理。还有一部分问题和预算有关。再就是“影子IT”的问题了,也就是员工发号施令使其发生变化的部分。

还有就是闲置不用,采购了好的工具,但是尚未部署和实施不当。就像Verizon的报告中所说的:“我们看到了很多这样的例子。一些组织已经配备了下一代防火墙,但是并没有使用它的程序感知功能,从而让他们的网络暴露给利用社交媒体应用程序的威胁和端口跳转攻击”。我在工作中也相当频繁地看到这个现象。

解决方案


鉴于上述的挑战和复杂性,IT团队要如何武装他们企业的防火墙,有效地管理其规则库,然后不断地检测出弊端?

首先,我不建议手动来管理防火墙,除非你的组织只有一个或两个防火墙,而且每个防火墙只有少量规则。

改善防火墙管理,处理变化和减少风险的其它几个必备措施:

• 管理必须要有安全性意识,对于网络现状和组织正面临的挑战要有清晰的概念,没有买入,就没有支持,就是这么简单。

• 所有关键部门之间的沟通都需要得到改善,包括防火墙团队、安全团队、IT运营和服务支持团队。我已经见过无数企业内部的IT部门之间几乎没有沟通,和外部的业务团队也没有沟通。当沟通瘫痪时,一切也就完了。

• 在系统运行中断或泄露事件中,真正的业务连续性和应急响应程序必须到位。否则,公司就会在最不合时宜的时候当机。

• 企业的防火墙环境中应该有合理的标准。我看到很多公司的网络环境中有各个供应商的防火墙。虽然对于某一特定功能,一些供应商的产品会比其它厂商的好,或者为了网络某一区域,企业需要部署一个下一代防火墙,但是如果一个企业在环境内运行相同或相似系统可以简化很多事情。

• 安全测试技术必须超越防火墙规则库分析或单纯的审核。测试技术应包括运行漏洞扫描器(网络和Web),以及任意其他工具,如Metasploit,甚至需要一个知己知彼的网络分析者来破解防火墙的漏洞。如果企业看得够深,他们会发现诸如弱口令,过时的协议(SSL和SSH版本1)这些问题。

• 诸如安全性检测、漏洞检测、风险防火墙规则,清除过时的规则这些行为都需要执行。这些测试应定期并持续执行,即每季度或每半年,或之后任意重大系统更改。一些企业使用诸如AlgoSec防火墙分析仪这样的工具几乎实时来做到这些测试。一旦组织建立了它的测试流程,有些事情就可以在短短几分钟内完成。当一个组织在其它领域也这样采取措施,它就会以更高的标准要求自己,并成功让自己保持在防火墙监督之上。

如果有必要,企业可以继续实施信息技术基础构架库(ITIL)或其它正式的变更管理流程。然而,值得注意的是,如果人们不按程序办事,那么这些流程也仅仅只起到了展示的作用。举个例子:我曾经为一个大型电子商务公司的业务做一个项目。有一天,防火墙的团队成员没有遵循既定的变更管理流程,对核心防火墙进行了一些带外(未经测试)变更。不幸的是,在变更过程中,防火墙规则库被损坏,电子商务应用和互联网之间的所有通信被中断。核心应用中断,最终后果是几个小时内对该企业造成了六位数美元损失。

作为负责防火墙的工作人员,安全人员必须在安全和现实之间做好平衡。永远不要让审计或合规引起的繁文缛节妨碍到工作。如果一个企业认真地思考一下,在其网络环境中基于需求使用正确的工具,制定合适的工作流程,那么防火墙维护和管理都可以做得很好。

最后,有一个很重要的问题:当涉及到防火墙管理和合规疏忽,企业是存在技术问题还是人员问题?再多的政府和行业法规,或是新的方法好像都无法解决这个问题,但是纪律可以。纪律可以让你了解风险在哪里,纪律可以更好地配合安全措施来管理网络,纪律可以让你做到需要做的事情,然后反复一遍又一遍地尽我们的能力做到很好的管理。

Jim Rohn曾经说过:“成功是容易的,但疏忽同样容易”。防火墙维护和管理上的问题不是突然一下子就出现的,是在长时间内做了一系列糟糕的决定,或者不做任何决定而产生的,例如管理者拒绝投资必要的工具和培训,或IT专业人士不做出任何努力和管理者进行更好的沟通。当关键系统,如防火墙和他们日益复杂的规则库被忽视,那就是不好的事情发生的时候,组织对于安全的真实态度也会自然而然地曝光。

作者

Kevin Beaver
Kevin Beaver

Kevin Beaver是一名优秀的信息安全顾问与作者。拥有超过17年的IT工作经验,擅长做信息安全评估。Beaver已经写了五本书,包括《Hacking For Dummies》《Hacking Wireless Networks For Dummies》《The Practical Guide to HIPAA Privacy and Security Compliance》等。

相关推荐

  • NSS Labs:浏览器安全性测试 IE8力拔头筹

    在NSS labs进行的最新一项关于浏览器检测恶意插件和防止钓鱼网站的安全性测试中,IE8力拔头筹,超过Firefox, 谷歌Chrome 、苹果Safari 、opera等浏览器。

  • 软件安全性测试

    安全性测试是一项迫切需要进行的测试,测试人员需要像黑客一样攻击软件系统,找到软件系统包含的安全漏洞,那么软件的安全性测试要如何进行呢?